新しいマルウェア・アズ・ア・サービス(MaaS)が、スパイウェア、スティーラー、およびリモートアクセス機能を組み合わせたものとしてTelegramで宣伝されている、とKasperskyが報告しています。
CrystalX RATという名前で、1月に出現しましたが、その際はWebcrystal RATとして提供されていました。WebRATと同じコントロールパネルを備えており、後にブランド名を変更され、開発者はTelegramとYouTubeの両方で宣伝を開始しました。
マルウェアコントロールパネルは、地域ブロックとアンチ分析などのオプションを備えたオートビルダーへのアクセスを提供し、ユーザーが圧縮および暗号化されたインプラントを生成できるようにしています。
Goで記述されたこのRATは、実行直後にコマンド・アンド・コントロール(C&C)サーバーへのWebSocket接続を確立し、その後システム情報の収集を開始します。
収集されたシステムデータを送信した後、マルウェアは情報窃取モジュールを実行し、Discord、Steam、およびTelegram認証情報、ならびにChrome系ブラウザからのデータを盗み取ります。
このRATはまた、すべてのユーザー入力をC&CにWebSocket経由で即座に送信するキーロガーモジュールを含んでいます。被害者のクリップボードを読み取り、変更することもでき、ChromeとEdgeに悪意のあるクリッパーを注入することができます、とKasperskyは指摘しています。
CrystalX RATは複数のリモートアクセスコマンドをサポートしており、オペレータはファイルをアップロード、ファイルを参照、またはコマンドを実行できます。統合されたVCNのおかげで、被害者のスクリーンをリモートから制御でき、システムのマイクロフォンとカメラを使用してオーディオとビデオストリームをキャプチャできます。
「攻撃者と被害者が同じセッションを使用しているため、パネルはユーザー入力をブロックして、攻撃者が妨害なく必要なアクションを実行できるようにするための多くのボタンを提供しています」とKasperskyは説明しています。
コントロールパネルは、ユーザーが被害者をいたずらできるようにする一連の個別のコマンドへのアクセスも提供しています、とサイバーセキュリティ企業は述べています。
これらのコマンドを使用して、オペレータはデスクトップの背景を変更、画面の向きを変更、デバイスをシャットダウン、マウスボタンをリマップ、周辺機器を切断、カスタム通知を表示、カーソル位置を無秩序に変更、およびさまざまなGUIコンポーネントを無効にできます。
「さらに、攻撃者は被害者にメッセージを送信でき、その後、システムで双方向チャットを可能にするダイアログウィンドウが開きます」とKasperskyは指摘しています。
サイバーセキュリティ企業によると、CrystalX RATはすでに数十人の個人に感染しています。現在のところロシアでのみ使用されていますが、このMaaSには地域の制限がなく、すぐに世界規模で使用される可能性があります。
「さらに、当社のテレメトリは新しいインプラントバージョンを記録しており、このマルウェアが依然として積極的に開発・保守されていることを示しています。CrystalX RATの拡大するPRキャンペーンと組み合わせると、被害者の数が近い将来に大幅に増加する可能性があると結論付けることができます」とKasperskyは述べています。
翻訳元: https://www.securityweek.com/sophisticated-crystalx-rat-emerges/
